研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控 注：据信该APP指的是“拼多多” 微信公众号「DarkNavy」发文，称某互联网厂商 App 利用 Android 系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。 该互联网厂商在自家看似无害的 App 里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞，实现 0day/Nday 攻击，从而绕过系统校验，获取系统级 StartAnyWhere 能力。 提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等） 之后，该 App 进一步使用的另一个黑客技术手段，是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写； 进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载； 随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留； 甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒 据拼多多现任员工称，2020 年，该公司成立了一个由约 100 名工程师和产品经理组成的团队，负责挖掘 Android 手机中的漏洞，开发利用这些漏洞的方法并将其转化为利润。 据因害怕遭到报复而要求匿名的消息人士称，该公司最初只针对农村地区和小城镇的用户，而避开了北京和上海等特大城市的用户。 “目标是降低暴露的风险，”他们说。 消息人士称，通过收集有关用户活动的大量数据，该公司能够全面了解用户的习惯、兴趣和偏好。 他们说，这使其能够改进其机器学习模型，以提供更加个性化的推送通知和广告，吸引用户打开应用程序并下订单。 消息人士补充说，在有关他们活动的问题曝光后，该团队于 3 月初解散。 Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。 据 CNN 采访的两位专家称，不久之后，3 月 5 日，拼多多发布了其应用程序的新更新版本 6.50.0，删除了这些漏洞。 据拼多多消息人士透露，更新两天后，拼多多解散了开发漏洞的工程师和产品经理团队。 第二天，团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序 Knock 之外，并且无法访问公司内部网络上的文件。消息人士称，工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。 团队中的大部分人都被转移到 Temu 工作。据消息人士称，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。 研究更新的 Oversecured 的 Toshin 表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。 在中国政府从 2020 年底开始对大型科技公司进行监管打压的背景下，拼多多扩大了其用户群。 “这会让工业和信息化部感到尴尬，因为这是他们的工作，”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多，而他们没有发现（任何东西）的事实让监管机构感到尴尬。” 该部定期发布名单，以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。 拼多多没有出现在任何一个名单上。

Linux 出现新的本地提权漏洞：

Linux 出现新的本地提权漏洞： 漏洞编号：CVE-2021-4034 影响包括： Ubuntu, Debian, Fedora, and CentOS 等著名linux系统。 危险等级：高危 此漏洞可能就2009年以来就被引入。 twitter上已有人发布利用漏洞的脚本。 正式修复程序未发布。 类似漏洞：CVE-2021-3560 （已修复） 攻击手段可以参考：

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告 编号为 CVE-2023-20963 的 Android Framework 漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的 Android 设备上提权。Google 在三月初释出了补丁修复了漏洞，表示该漏洞正被用于针对性的利用。3 月 21 日 Google 从其应用商店下架了拼多多应用。（Solidot）

#两岸国际【Now新闻台】日本有网民示范利用回转寿司店系统漏洞食「霸王餐」，引发争议。

#两岸国际 【Now新闻台】日本有网民示范利用回转寿司店系统漏洞食「霸王餐」，引发争议。 网上有片段展示，有食客将寿司空碟快速投进收碟机，令系统来不及计算碟数，利用系统漏洞食「霸王餐」。网民批评此举是犯罪，忧虑这种行为可能又会引发模仿乱象。 主打自助用餐的日本连锁回转寿司店，近期多次成为部分网民捣乱的目标。此前曾有人弄污寿司、桌上的豉油樽等，多宗案件闹上法庭，亦严重影响餐厅营运。

【2022 年度最“不可赦”漏洞】@尹亦声MK15：拼多多攻击用户手机，利用 Android 的反序列化洞子，然后加上其他几个洞

【2022 年度最“不可赦”漏洞】@尹亦声MK15：拼多多攻击用户手机，利用 Android 的反序列化洞子，然后加上其他几个洞子，直接内核提权，窃取竞争对手软件数据，然后给自己保活，顺手防止自己被卸载… #抽屉IT